Her geçen gün bir yerlerde saldırılar gerçekleşiyor, çeşitli sızıntılar oluyor. Artık güvenlik isteğe bağlı değil zaruri hale geldi. Bu kapsamda sunuculara, sistemlere, sosyal medyalara giriş için kullandığımız şifrelerimizi korumak aşırı önem arz etmeye başladı. Bulunan her güvenlik önlemine karşılık ona uygun yeni saldırı yöntemleri gerçekleştirildi. O yüzden net bir şekilde belirtmek isterim ki “şu yöntemi uygularsanız hiçbir sorun yaşamazsınız” denebilecek bir koruma önlemi yok. Ancak birden fazla yöntemle kendinizi en yüksek derecede koruyabilir veya hasarı en aza indirebilirsiniz.
Günümüzde internette belli bir zaman geçiren herkesin onlarca yerde belirlediği şifreler var. Yapılması gereken bu şifrelerin olabildiğince zor olması. Tahmin edilemez olmalı, size ait karakteristik ayrıntılar olmamalı, her tip karakter bulunmalı, uzun olmalı... Bu listeye daha maddeler eklenebilir. Ancak insan beyni belli bir şekilde çalışır: Akla gelen bir kelime (muhtemelen isminiz, sevdiğiniz bir şey veya biri) + akla gelen sayı (sizin ya da sevdiğiniz biri için özel bir günü ya da olayı anlatan bir sayı) + belki noktalama işareti (muhtemelen nokta, virgül veya ünlem). Bazı siteler sizi çeşitli olmaya zorladığında ise yüksek ihtimalle ilk harf büyütülür ve aynı şey yazılır. En büyük başka bir sorun ise her yere farklı şifre hazırlamak beyni strese sokan bir eylem olduğu için aynı şifreyi koyacak veya sadece yerlerini değiştireceksiniz. Bu durum hemen her insan için geçerlidir.
Bu şekilde belirlenen şifreler Brute Force (Rastgele deneme ile şifre tahmini saldırısı) ile yaklaşık birkaç saat içerisinde tespit edilebiliyor. Hedeflenen kişiye ait birçok olası kelime ve sayı kombinasyonuyla oluşturulmuş yüzbinlerce şifre çok hızla denenebilir. Üstüne bir de daha önce size ait başka veri tabanlarından sızmış şifre örnekleri varsa bu durum daha da hızlanacaktır. İnternette sizin için güvenli şifre oluşturabilecek çeşitli hizmetler bulabilirsiniz. Bu sebeple çok sayıda şifre, öngörülemez düzende ve oldukça zor bir seviyede hazırlandıktan sonra sıra geldi bunları güven içinde saklamaya ve ihtiyaç halinde kullanmaya.
Günümüzde internette belli bir zaman geçiren herkesin onlarca yerde belirlediği şifreler var. Yapılması gereken bu şifrelerin olabildiğince zor olması. Tahmin edilemez olmalı, size ait karakteristik ayrıntılar olmamalı, her tip karakter bulunmalı, uzun olmalı... Bu listeye daha maddeler eklenebilir. Ancak insan beyni belli bir şekilde çalışır: Akla gelen bir kelime (muhtemelen isminiz, sevdiğiniz bir şey veya biri) + akla gelen sayı (sizin ya da sevdiğiniz biri için özel bir günü ya da olayı anlatan bir sayı) + belki noktalama işareti (muhtemelen nokta, virgül veya ünlem). Bazı siteler sizi çeşitli olmaya zorladığında ise yüksek ihtimalle ilk harf büyütülür ve aynı şey yazılır. En büyük başka bir sorun ise her yere farklı şifre hazırlamak beyni strese sokan bir eylem olduğu için aynı şifreyi koyacak veya sadece yerlerini değiştireceksiniz. Bu durum hemen her insan için geçerlidir.
Bu şekilde belirlenen şifreler Brute Force (Rastgele deneme ile şifre tahmini saldırısı) ile yaklaşık birkaç saat içerisinde tespit edilebiliyor. Hedeflenen kişiye ait birçok olası kelime ve sayı kombinasyonuyla oluşturulmuş yüzbinlerce şifre çok hızla denenebilir. Üstüne bir de daha önce size ait başka veri tabanlarından sızmış şifre örnekleri varsa bu durum daha da hızlanacaktır. İnternette sizin için güvenli şifre oluşturabilecek çeşitli hizmetler bulabilirsiniz. Bu sebeple çok sayıda şifre, öngörülemez düzende ve oldukça zor bir seviyede hazırlandıktan sonra sıra geldi bunları güven içinde saklamaya ve ihtiyaç halinde kullanmaya.
Bu durumun olabilecek tüm elektronik saldırılara karşı mutlak koruma sağladığını söylemek zorundayım. Ancak çok fazla başka soruna sebep olan bir yöntemdir. Öncelikle her an yanınızda taşımak zorundasınız. Her yeni şifreyi oraya kaydetmeyi alışkanlık haline getirmeli, her değişikliği notlarınızda da yapmayı unutmamalısınız. Ürettiğiniz kompleks şifreleri daha sonra mobilde ya da başka tarayıcılarda elle girmek durumundasınız. Mesela şöyle bir şifreyi: yA]86.G,!Zc98V}aACAz. Ve bunun gibi onlarcasını. Ayrıca gerek sizin gerek evinizin soyulması durumunda tüm şifreleriniz açığa çıkar ve daha önemlisi sizde bu kaydınızı kaybettiğiniz zaman geri dönülemez bir duruma girebilirsiniz.
Bu durumda şifrelerinizi başka yerlere yazmak ve sonradan düzenlemek daha kolaydır. Ancak yanınızda taşıyamazsınız. Ve çeşitli bilgisayar saldırılarına karşı tamamen korumasızdır. Ayrıca yine şifre üretmek zordur.
3. Kendi Yaptığınız Şifre Uygulamanız
*Örnek olması için kendi yaptığım bir çalışmayı blogdan anlatacağım.
Bir dosyayı her zaman şifrelemek ve açmak zordur. Dolayısıyla içeriği sadece sizin bildiğiniz bir yolla hazırlamak güvenli bir seçenek sayılabilir. Sakladığınız bir şifre olmadığından asla kırılma ihtimali yoktur ve algoritmayı sadece siz bilirsiniz. Ancak KeyLogger’lara (Ekran ve klavye izleyen zararlı yazılımlar) karşı korumasızdır. Ayrıca sonradan yaptığınız şifre değişiklikleri zorlu olabilir ve yanınızda taşıyamazsınız.
Tüm bu ihtimallerin iyi yönlerinin alındığı, negatif yönlerinin büyük oranda alınmadığı “Şifre Yöneticileri” ne geldi sıra.
4. Password Managers (Şifre Yöneticileri)
a) Tarayıcı İçinde Olanlar: Hepiniz bir siteye kaydolurken size otomatik ve rastgele bir parola önerildiğini görmüşsünüzdür. Üyelik işlemini tamamladıktan sonra parolayı kaydetmek isteyip istemediğiniz sorulur ve onay verirseniz daha sonra o siteye giriş yaparken otomatik doldurma işlemi yapılır. Bunun sebebi tarayıcınızın içindeki şifre yönetici uygulamasıdır.
b) Üçüncü Taraf Uygulamalar: Bu görev için hazırlanmış ve sunulmuş ücretli-ücretsiz seçenekleri rahatlıkla bulabilirsiniz. Tarayıcıyla beraber gelenler benzer hizmetleri verirken bu uygulamalar çeşitli ekstra özelliklere sahiptir. Bu özeliklerin bazıları oldukça faydalı iken bazıları tercihe göre seçilmelidir.
2FA – 2 Faktörlü Koruma ile Giriş
İnternette bazı servislere giriş yaparken gördüğünüz koruma önlemi Şifre Yöneticileri içinde kullanılmaktadır. İçinde Tüm şifrelerinizi saklayan bir dosyanın açılması için sadece tek bir şifrenin yeterli olmayacağını düşünüyorsanız bu özelliği kullanabilirsiniz. Bu sayede daha önceden telefonunuza yüklediğiniz bir uygulama sayesinde yalnızca o telefonun anlık ürettiği şifreyi de doldurmadan kimse uygulamaya giriş yapamayacaktır. Kesinlikle tavsiye ediyorum. Hatta bazı uygulamalar güvelik anahtarını dahi desteklemektedir.
2FA – Hizmeti Sağlama
Bazı uygulamalar ise başka servisler için size TOTP (zamana bağlı tek seferlik kod) hizmeti verir. Bu sayede ekstra bir uygulama kullanmanıza gerek kalmaz. Ve telefonunuza zarar gelme veya 2FA uygulamanızın şifresini unutma sorunları ortadan kalkar.
Güvenli Şifreleme Korumaları
Kullanıcı girişi için güvenliği sağladıktan sonra sıra geldi saldırıları engellemeye. Tüm Şifre Yöneticileri çeşitli seviyelerde içeriği koruma amaçlı dosya şifreleme sistemlerini kullanır. Büyük firmalar üst seviye yöntemleri tercih ederken tarayıcı uygulamaları daha standart yöntemlerin ötesine geçişi sağlamamıştır.
Online ve Yerel Depolama Seçenekleri
Bazı Şifre Yöneticileri şifrelerinizin olduğu dosyaları yalnızca online olarak saklarken bazıları istediğiniz cihazda saklama imkânı tanır. Her iki seçeneğinde avantajları ve dezavantajları vardır. Eğer online saklama yönetimini kullanırsanız koruma işlemini sizin yerinize Şifre Yöneticisi yapar. Bu işlemi sizden çok daha iyi yapar, ayrıca kullandığınız tüm cihazlarda şifreleriniz otomatik senkronize edilir. Ancak binlerce belki milyonlarca abonesinin şifresini sakladığından dolayı saldırganlar için daha önemli bir hedeftir. Sunucu korumaları oldukça iyidir fakat geçmişte 2-3 başarılı sızma eylemi gerçekleşti. Bu sızmalarda kullanıcı dosyalarına erişilemediği açıklandı. Daha önemlisi kendi sunucularında saklasalar dahi firmalar bu dosyaları birbirinde farklı halde şifrelenmiş olarak tutarlar. Yani bir firmanın tüm abonelerinin dosyalarına ulaşılsa dahi tek tek o dosyaların açılması gerek. Ve hiçbir başarılı dosya açma eylemi diğer bir dosya için bir işe yaramamakta, sıfırdan dosya saldırısına başlamaları gerek. Bu da kabaca ilk oynadığınız şans oyununda büyük ikramiye kazanmanızdan daha düşük bir ihtimale sahip. Diğer ihtimalde ise yerel depolama seçeneğini kullanabilirsiniz. Bu durumda bir zarara uğramanız için tek ihtimal sizin cihazınıza sızılması. Daha iyi bir koruma gibi görünse de artık zararlı yazılımlar sadece yakalayabildikleri şifreleri değil, bilgisayardaki dosyaları da çalabiliyor. Ve bu yöntemde yeni şifre belirlediğinizde ya da değişiklik yaptığınızda diğer cihazlarınızdan elle senkronize etmeniz gerekiyor.
Şifre Paylaşımı
Diyelim ki aynı evi paylaştığınız biri var ve ortak Spotif, Netflix, YouTube gibi hizmetleri kullanıyorsunuz; ya da ailenizle kredi kartı, kimlik ya da dosya paylaşmak istiyorsunuz. Tarayıcılar buna izin vermese de üçüncü taraf uygulamalar ile istediğiniz kişiye istediğiniz içeriği yazarak ya da telefonla söyleyerek değil uygulama üzerinden güvenle gönderebilirsiniz.
Kaydedilebilir İçerikler
Üçüncü taraf uygulamalar ile yalnızca şifrelerinizi, adreslerinizi ya da kredi kartlarınızı değil; kişi bilginizi, kimlik ve pasaportlarınızı, sağlık kayıtlarınızı, satın aldığınız yazılım lisanslarınızı, ayrıca önem arz eden notlarınızı veya her çeşit dosyayı belli kapasite ile saklama imkânı tanırlar.
Şifre Kontrolleri
Yeni şifrelerinizi güvenle hazırlasanız da eski şifrelerinizi kullanmaya devam etme imkanına sahipsiniz. Ve bu uygulamalar şifrelerinizin ne kadar zayıf/güçlü olduğunu, birden fazla kullanıp kullanmadığınızı kontrol eder ve belli bir zaman geçtikten sonra yeni bir şifre ile değiştirmeniz gerektiğine dair size uyarılarda bulunur.
Sızıntı Kontrolleri
Bu önlemlerin tamamını uyguladınız, hiçbir saldırıya uğramadınız ve bir sorun yaşamadınız ama her zaman başka bir risk ile karşı karşıyasınız. Kullandığınız hizmetler şifrelerinizi koruyamayabilirler. Bu durumdan derhal haberdar olmalı ve gerekli önlemleri almanız gerekir. Bu sebeple Şifre Yöneticileri sizin yerinize internette her an sızıntıları kontrol eder. Böyle bir durum tespit edildiği anda size bildirir. Daha önce sızıntı yaşamış sitelere karşı dikkatli olmanız gerektiğine, sızan şifrelerde size ait bilgi olup olmadığına dair uyarı alırsınız.
Tüm Cihazlarınızda Rahatça Kullanma
Tarayıcı uygulamaları ile bu hizmetleri yalnızca o tarayıcıda kullanabilirsiniz. Eğer abonelik açarsanız başka cihazlarda da kullanabilirsiniz, ancak yalnızca o tarayıcı üzerinde olmak kaydıyla. Örneğin Google Chrome kullanıyorsunuz, şifrelerinizi telefonunuzdaki Chrome ile de kullanabilirsiniz ancak aynı zamanda Mozilla Firefox kullanıyorsanız her şifre eklemenizde ya da değiştirdiğinizde bir tarayıcıdan diğerine aktarmanız gerekiyor. Bu sıkça yapmaya uygun bir işlem değildir. Ayrıca üçüncü taraf uygulamalar mobil cihazlarda uygulamaları da tespit eder (Sadece Facebook.com’a giriş yaparken değil, telefonunuzdaki Facebook uygulamasına girerken de otomatik doldurulur) ancak bu durum tarayıcılar ile mümkün değildir.
Tüm bu sebeplerden dolayı herkes Bağımsız Şifre Yönetici kullanmalıdır.
